security相关内容

在Maven pom.xml中,将log4j2的所有用法(包括使用log4j2的依赖项)升级到2.15.0的最简单方法是什么?请参阅CVE-2021年-44228

发现log4j2<;=2.14.1存在严重安全漏洞(请参阅https://nvd.nist.gov/vuln/detail/CVE-2021-44228)。如何更新Spring Boot应用程序的pom.xml以确保log4j2的所有(递归)使用都使用版本2.15.0? 推荐答案 更新: 2022/01/04: Log4J 2.17.1包含CVE-2021-44832的 ..
发布时间:2022-02-25 11:33:03 其他开发

Log4j漏洞-Log4j 1.2.17是否易受攻击(在源代码中找不到任何JNDI代码)?

关于已发现的Log4jJNDI远程代码执行漏洞CVE-2021-44228-(另请参阅参考资料)-我想知道Log4j-v1.2是否也受到影响,但我从源代码审查中得到的最接近的是JMS-Appender。 问题是,虽然互联网上的帖子指出Log4j 1.2也有漏洞,但我找不到它的相关源代码。 我是否遗漏了其他人已确定的内容? Log4j 1.2似乎在socket-server类中存在 ..
发布时间:2022-02-25 11:29:43 Java开发

在Google Apps脚本中管理API机密的合适方式是什么?

如果我编写了一个Google应用程序脚本,并且在该脚本中需要调用第三方API或进行数据库调用,那么管理API密钥和密码的合适方式是什么? 如果我将脚本作为API发布,但不共享对包含Google Apps脚本的Google Drive位置的访问,是否有将机密直接放入脚本中的风险 推荐答案 答案没有对错。需要考虑的因素有很多: 如果这是针对G-Suite/在G-Suite中的, ..

Azure AD应用程序权限与委派权限

我正在创建Azure AD应用程序,注意到有两种权限类型,即应用程序权限和委派权限。这两者之间有什么区别?在什么情况下应该使用它们? 推荐答案 要以登录用户身份调用Web API时,通常使用委派权限。例如,假设WebAPI需要根据用户是谁对其返回的数据进行过滤操作,或者以登录用户的身份执行某些操作。甚至只记录发起呼叫的用户。 应用程序本身调用API时使用应用程序权限。例如,获取某 ..
发布时间:2022-02-23 14:00:41 其他开发

如何在WebForms中进行Html.Encode

我有一个ASP.NET Web窗体应用程序。有一个带有文本框的页面,用户在其中输入用于查询数据库的搜索词。 我知道我需要防止JavaScript注入攻击。我该怎么做? 在MVC中,我会使用Html.Encode。它似乎在Web表单中无法识别。 谢谢! 推荐答案 您可以使用HttpUtility.HtmlEncode ..
发布时间:2022-02-23 11:22:06 C#/.NET

密匙斗篷令牌中是否有任何部分可以用作令牌本身的唯一ID?

背景/动机 基于Keyloak令牌,我从数据库中获取用户的一些附加信息(sub字段)。我要缓存信息,并且我正在查找缓存的适当键。 我不想使用sub字段,因为我希望在密钥遮盖令牌更改时(=当为同一用户生成新令牌时)缓存条目无效。 我可以轻松地使用整个密钥罩令牌或其第三部分(签名)作为密钥。但是,它是一个相当长的字符串。 问题 密钥罩令牌中是否有可用作此特定令牌的唯一ID ..
发布时间:2022-02-21 10:26:15 其他开发

有没有可能颠倒一架SHA-1?

是否可以颠倒SHA-1? 我在考虑使用SHA-1创建一个简单的轻量级系统来验证通过未加密连接通信的小型嵌入式系统。 假设我使用来自密钥&q;的输入创建了一个这样的SHA1,并用时间戳为其添加了趣味性,以便SHA-1将始终更改。 sha1("My Secret Key"+"a timestamp") 然后,我将此SHA-1包含在通信和服务器中,它可以执行相同的计算。希望没有人能 ..
发布时间:2022-02-21 10:25:33 其他开发

您是否使用 TR 24731 的“安全"功能?

ISO C 委员会(ISO/IEC JTC1/SC21/WG14) 已发布 TR 24731-1 并且是致力于TR 24731-2:p> TR 24731-1:C 库扩展第一部分:边界检查接口 WG14 正在研究更安全的 C 库函数的 TR.此 TR 旨在修改现有程序,通常通过添加带有缓冲区长度的额外参数.最新的草案在文件 N1225 中.文件 N1173 中有一个基本原理.这将成为技术报 ..
发布时间:2022-01-31 09:40:44 其他开发

通过 addlashes() 进行 SQL 注入的示例?

在 PHP 中,我知道 mysql_real_escape 比使用 addslashes 安全得多.但是,我找不到 addslashes 会导致 SQL 注入发生的示例. 谁能举几个例子? 解决方案 嗯,这是你想要的文章. 基本上,攻击的工作方式是让 addslashes() 将反斜杠放在多字节字符的中间,这样反斜杠就会因为成为有效多字节序列的一部分而失去意义. 文章中的 ..
发布时间:2022-01-30 21:42:05 PHP

防止 SQL 注入的好方法是什么?

我必须为我的 OJT 公司编写一个应用程序管理系统.前端使用 C#,后端使用 SQL. 现在我以前从未做过这个范围的项目;在学校里,我们只有关于 SQL 的基本课程.不知何故,我们的老师完全没有讨论 SQL 注入,这是我现在才通过在网上阅读而接触到的. 所以无论如何我的问题是:如何防止 C# 中的 SQL 注入?我隐约认为可以通过适当地屏蔽应用程序的文本字段来做到这一点,以便它只接受指 ..
发布时间:2022-01-30 09:45:26 C#/.NET

SecurityError:阻止具有源的框架访问跨域框架

我正在我的 HTML 页面中加载 并尝试使用 Javascript 访问其中的元素,但是当我尝试执行我的代码时,我收到以下错误: SecurityError: Blocked a frame with origin "http://www..com" 访问跨域框架. 您能帮我找到一个解决方案,以便我可以访问框架中的元素吗? 我正在使用此代码进行测试,但徒 ..
发布时间:2022-01-29 22:40:41 前端开发

如何清理我的包含语句?

如何清除此问题以使用户无法将页面拉出本地域? 解决方案 最安全的方法是将您的页面列入白名单: $page = 'home.php';$allowedPages = array('one.php', 'two.php', ...);if (!empty($_GET['page']) && in_array($_GET['page'], $allowedPages))$page = $_GE ..
发布时间:2022-01-25 19:20:40 PHP

在 Android 中安全地存储客户端证书和密钥 (.pem)

我正在开发一个供内部使用的 Android 应用程序,用于向我们的服务器发送测试请求.身份验证是通过基本 + 客户端证书.我现在正在做的是将证书和密钥文件存储在资产/证书中,通过输入获取密钥和基本身份验证的密码,然后保存在 SharedPreferences 中.这可能不安全.我最关心的是两个 .pem 文件.我读了很多关于将它们保存在 Android Keystore 中的内容,但对此不太确定. ..
发布时间:2022-01-25 16:57:34 移动开发